蓝冬雪 来守林
摘要:随着信息化时代的到来以及我国疾病预防控制日渐常态化,疾病预防控制中心网络信息系统建设的重要性也日益凸显。但是,在给疾病防控工作人员创造工作便利的同时,网络信息系统也带来了一系列的风险因素,有可能导致诸多负面后果。对此,文章从网络数据风险的安全意识不足、系统漏洞及管理不规范3个方面展开分析研究,并基于此提出了具体的安全防护措施建议,以确保系统的正常运转。
关键词:疾病预防控制中心;网络数据风险;安全防护
中图法分类号:R197 文献标识码:A
疾病预防控制中心也可以简称为疾控中心,截至2021 年年末,我国疾病预防控制中心共3 380 个。随着信息技术的进步和推广,疾病预防控制中心信息化建设进程加快。全民健康信息化疾病防控信息系统建设已经形成一定规模,并在医疗领域发挥着重要作用,提高了医疗服务质量,为广大患者减轻了经济负担。2022 年,相关部门推出了医疗行业首个网络安全的管理办法,强化了疾病预防控制中心网络数据的风险意识和安全意识,从而进一步推动疾病预防控制中心信息化建设[1] 。
1 信息化背景下疾病预防控制中心网络数据面临的风险
1.1 安全意识不足
在信息化背景下,疾病预防控制中心信息系统发展至今已经较为完善,且随着疾病防控的常态化,疾控相关的网络数据也越来越多,信息系统内重要信息面临数据缺失与隐私泄露等各类风险也日趋严峻[2] 。
首先,疾控中心信息系统的操作人员对疾病预防控制中心系统的信息化缺乏足够的认知和准备,在日常工作中对信息系统的操作及维护难以做到与时俱进,缺乏责任意识,使得防控数据的完整性存在问题,进而对疾病防控中心信息系统的疾病防控常态化产生消极影响。其次,疾病预防控制中心的工作人员缺乏足够的安全意识,对信息系统中隐私网络数据泄露导致负面社会效果的严重性认识不足。很多工作人员并未意识到网络环境的复杂性,在管理员密码、移动存储设备以及工作邮箱等安全方面疏于管理,安全制度流于表面,这些都为别有用心的攻击者在客观上提供攻击信息系统、盗取重要信息数据的便利条件。
1.2 系统漏洞
目前,我国疾病预防控制中心信息系统随着信息化的发展得到了极大的完善,网络信息数据安全防护也随着新技术的产生得到了极大的增强,但是对网络数据安全产生威胁的根本性原因并未因此而彻底根除,也就是所有基于硬件或软件的网络数据安全防御措施都不可能做到万无一失,即便是安全系数较高的防御系统[3] ,在技术上都可能存在系统上的风险。换言之,无论投入再多的人力与物力,信息系统中的漏洞都不可能100%被根除。系统硬件、软件以及相关协议在安全策略中都不可避免地有着不同程度的缺陷,如系统本身在设计之初就存在的后门问题,攻击者借此非法取得系统的访问权限,对信息数据进行窃取、篡改等破坏性行为,会对信息系统带来较为严重的安全隐患。而且,在具体的日常工作中,疾病预防控制中心的网络硬件设备大多都暴露在互联网络中,攻击者同样会利用硬件本身的安全漏洞对信息系统的数据库进行破坏。
1.3 管理操作不规范
在疾病预防控制中心信息系统所面临的诸多数据风险中,除了操作人员安全意识不足及系统漏洞导致的安全风险,还有一类情况是在管理与操作过程中,因制度上的缺失,导致监管不到位造成的风险。
尽管疾病预防控制中心都会制定一整套相对完备的网络安全保障制度,可从具体的管理工作效果来看,受限于操作人员自身的素质等客观因素,安全制度并不能及时避免安全风险的出现,其实际保护效果与预期相比还有很大的距离。比如,在具体的工作中,工作人员可能会根据需要随意在系统中进行操作,导致一些带有安全风险的软件和文件出现在系统中[4] ,在对数据文件进行共享后没能及时取消,甚至为了工作方便将系统中的文件进行长期、完全的共享,一旦本地系统遭到攻击者的入侵,这些信息数据势必会彻底暴露在攻击者面前,任由攻击者对其进行窃取或篡改。这些风险的出现是由于工作人员风险意识的欠缺,但其根本原因还是安全保障制度在细节上存在缺失,难以有效地对工作人员的管理和操作进行规范。
2 信息化背景下疾病预防控制网络数据的安全防护
2.1 提高人员综合素质,加强网络安全意识
随着信息化的发展,疾病预防控制中心信息系统为疾控常态化提供了有效的支撑,但为了避免日益严重的安全风险,有必要做到以下2 个方面。首先,对疾病预防控制中心的工作人员进行系统性的培训,提高其综合素质,让工作人员充分了解网络数据安全对于疾病预防控制工作的重要意义,除了进行岗位培训,还要对其普及信息系统软硬件安全防护的相关知识。在人员培训方面,有必要加大经费的投入,引入合理的人才培养机制,建设一支综合素质过硬的网络数据安全防护人才队伍。其次,不断加强疾病预防控制中心工作人员的网络安全意识。工作人员只有具备了网络数据信息的安全防护意识,才会在实际工作中严格遵从安全规范对信息系统进行操作和管理。
此外,強化疾病预防控制中心领导层的安全意识应是重中之重,在构建安全调控机制时才能做到准确有效,同时在优化疾控中心信息系统时才能充分考虑到安全保障的重要性。基于此,应设立专门的安全保护小组,对安全漏洞等风险的处理,能够更加及时有效。
2.2 升级软硬件,完善网络规划
为应对技术和系统带来的安全风险,有必要从以下4 个方面入手。首先,在硬件和软件上完善疾病预防控制中心内部的本地网络防护工作,通过交换机等设备对中心内网和外部互联网进行保护性的物理隔离,从物理上隔绝来自外部互联网的攻击,同时安装杀毒软件,启用防火墙,在软件层面做好安全保障。
其次,鉴于疾病预防控制中心仍需与外部互联网进行通信,内外网不可能完全隔离[5] ,因此网络接口边界防火墙的应用就显得十分重要,通过防火墙对流量与连接外网等行为进行严格的实时管控,以确保及时准确地识别来自外网的攻击行为。再次,信息系统内的数据十分重要,为避免因数据损坏或失窃带来的损失,除了有必要对系统内的信息数据进行加密,还要定期对数据进行安全备份,使得数据遭到破坏以后可以迅速恢复。最后,进一步完善网络规划,将交换机与防火墙技术进行充分的结合,通过虚拟局域网技术,在相应的虚拟局域网中进行各个类型的工作,最大限度地保障信息系统的安全运转。
2.3 建立责任制度,优化管理规范
对疾病预防控制中心信息系统的安全防护而言,制度和规范的建设必不可少。首先,从网络安全责任制度的建立入手,鉴于疾病预防控制中心工作繁多,应从领导层的安全意识抓起,通过调控机制明确所有人的工作范围与责任范围,既提高了工作效率,又强化了监督管理的效果。其次,强化网络安全相关制度,在疾病预防控制中心的管理工作中,针对可能出现安全风险的诸多细节,应做出明确且合理的规定,将管理规范进一步优化完善,把安全防护风险从人为因素方面尽可能降到最低。此外,疾病预防控制中还有必要和当地的网络安全中心展开深度合作, 在建立责任制度与优化管理规范的基础上构建更加高效的安全防护结构,打击来自互联网的不法入侵,盗取、篡改信息数据等犯罪行为。
疾病预防控制中心信息系统的建设是我国疾病预防控制常态化的重要基础,信息化时代既为信息系统建设提供了新的技术支持,也带来了更多且难以预测的网络数据风险。因此,为减少这些可能带来负面后果的网络风险,应提高工作人员的综合素质与安全意识,从软硬件同时入手完善网络规划,优化相关制度和规范,以促进疾病预防控制中心信息系统的安全发展。
参考文献:
[1] 韩冬,黄家忠,闫俊飞,等.天津市疾病预防控制中心信息化建设中项目监理的作用分析[J].职业与健康,2021,37(15):2137?2140.
[2] 赵浩然.实验室信息管理系统在疾病预防控制中心实验室的应用[J].中国卫生检验杂志,2022,32(9):1149⁃1151.
[3] 李霞.网络环境下疾病预防控制中心档案室信息资源的共建共享研究[J].产品可靠性报告,2022(8):75⁃76.
[4] 赵志刚,张媛媛,胡尧,等.不忘初心为人民牢记职责保健康筑牢疾病预防控制的坚固堡垒———山东省疾病预防控制中心疾病预防控制篇[J].预防医学论坛,2022,28(9):641⁃642.
[5] 陈金钰.县域疾病预防控制中心信息化运行及维护[J].无线互联科技,2021,18(1):102⁃103.
作者简介:
蓝冬雪(1976—),研究方向:网络信息安全与管理。
来守林(1975—),博士,研究方向:技术经济、区域经济。